我有一台本地Windows服务器2022,它正在运行AD DS、NPS和DHCP。我还有Azure AD订阅,我的用户就在这里。我想把我的用户数据库(AD(放在云中,因为目前我没有任何备份解决方案,而且我更容易管理。我想有ieee801.x内部部署,以及VPN服务。是否可以强制NPS根据我的所有用户所在的Azure AD进行身份验证?如果是,如何做到这一点?
我知道Azure AD Connect提供混合集成,但据我所知,这只是一种方式,即从本地AD到云同步,而不是另一种方式。
是的,同步只是单向的,目前的解决方案是使用PowerShell导出/导入或使用第三方工具。在您链接的NPS文章中,本地用户最终通过Azure MFA进行身份验证。NPS扩展充当RADIUS和基于云的Azure AD Multi-Factor Authentication之间的适配器,为联合用户或同步用户提供MFA。您的云用户只需使用常规Azure MFA,而不需要该适配器。
用户写回场景最常见的解决方法是创建PowerShell脚本,该脚本定期扫描Azure AD,在Azure中查找用户,然后创建具有Azure AD中属性的本地用户。
常规用户写回功能已经在路线图上,并且正在积极开发中。我已经要求PG更新,一旦发布,我会编辑这篇文章。
有关云VPN选项,请参阅:Azure AD Authentication-Open VPN。